ハクソク

世界を動かす技術を、日本語で。

Notepad++が国家支援の攻撃者に乗っ取られる

113日前原文(notepad-plus-plus.org)

概要

  • Notepad++公式サイトが インフラレベルで攻撃 を受けた経緯
  • 2025年6月から12月2日 まで攻撃者による不正アクセスが継続
  • アップデート配信の改ざん を目的とした標的型攻撃
  • 全対策完了 と今後のセキュリティ強化策の導入
  • ユーザーへの 謝罪と再発防止策 の説明

Notepad++公式サイトに対するインフラレベルの攻撃概要

  • 2025年6月より、 Notepad++公式サイトのインフラ が攻撃対象
  • 攻撃は ホスティングプロバイダーのサーバー レベルで発生
  • Notepad++本体の脆弱性 が直接利用された形跡なし
  • 一部のユーザーのみが 攻撃者サーバーへ誘導 される標的型攻撃
  • 中国の国家支援グループ によるものと複数の独立系研究者が分析

攻撃の詳細と調査結果

  • 攻撃者は アップデート配信先の通信を傍受・リダイレクト
  • 2025年9月2日まで サーバー本体が侵害されていた
  • サーバー侵害後も 内部サービス用認証情報 が流出し、 12月2日まで一部攻撃継続
  • 攻撃者は Notepad++ドメイン のみを標的
  • 他の共有サーバーや顧客への波及なし
  • 2025年12月2日 以降、全ての不審な挙動が消失

ホスティングプロバイダーの対応と再発防止策

  • サーバーの カーネル・ファームウェア更新 による不正アクセス遮断
  • 認証情報の全ローテーション を実施
  • サーバーログ調査により他システムへの被害なしと確認
  • 攻撃再発防止のための 脆弱性修正再侵害試行の阻止 を確認

ユーザー側への推奨対応

  • SSH、FTP/SFTP、MySQL の認証情報変更
  • WordPress管理者アカウントの見直し・不要ユーザー削除
  • WordPressプラグイン・テーマ・本体の 最新化と自動更新 の有効化

Notepad++側の追加対策

  • 新ホスティングプロバイダー への全面移行
  • アップデーター(WinGup)に 証明書・署名検証機能 を追加(v8.8.9)
  • アップデートサーバーの XML応答にXMLDSig署名 を付与
  • v8.9.2以降、 証明書・署名検証の強制適用
  • セキュリティ強化による 再発防止の徹底

期間と影響範囲のまとめ

  • 攻撃期間:2025年6月~12月2日
    • セキュリティ専門家は 11月10日終了 と分析
    • プロバイダー側は 12月2日まで可能性 を指摘
  • 影響範囲:Notepad++アップデート配信経路
  • ユーザーへの謝罪 と今後の信頼回復への取り組み

今後の展望とメッセージ

  • 全ての対策が完了 し、現時点で攻撃者の痕跡なし
  • 今後も セキュリティ強化を継続
  • ユーザーの信頼回復と安全確保への 強い決意

Hackerたちの意見

すごいな。ターゲットにされたシステムがどうやって侵害されたのか、もっと知りたいな。

たぶん、スパイやデータの抜き取り、コントロールのために脆弱性のあるアップデートを押し付けて、エンドユーザーのマシンにバックドアを仕掛けてるんじゃないかな。

同意。サプライチェーン攻撃は怖いよね。NPPでいろんな秘密を開いてるけど、全部漏れちゃったのかな?

誰がターゲットになったのかも気になる。今のメッセージはすごく曖昧だね。

詳細は下のリンクにあるよ:https://www.heise.de/en/news/Notepad-updater-installed-malwa... https://doublepulsar.com/small-numbers-of-notepad-users-repo... 要するに、Notepad++の8.8.7バージョンまでは、開発者が自己署名証明書を使ってたんだ。これがGithubのソースコードにあったんだよね。著者はベストプラクティスを守らなかったから、こうなった。で、「良いニュース」としては、攻撃はかなりターゲットを絞ったもので、アジアの人たちに対するキーボード操作を伴う攻撃だったみたい。ホスティング会社を責めるのはちょっと怪しいよね。著者も少なくともある程度の責任はあるはずだから。

おそらくこれに関係してるね: https://notepad-plus-plus.org/news/v869-about-taiwan/

そうそう、Notepad++はアップデートで政治的なメッセージを発信することで有名だよね。台湾やウクライナとか。

それとこれね https://notepad-plus-plus.org/news/v781-free-uyghur-edition/ 彼らのGHページが中国語で書かれた問題で溢れてたのをはっきり覚えてる。

こういうツールにはいつも心配してる。小さなチームがメンテしてるのに、すごく普及してるから、たとえインストールの一部が悪意のある人に乗っ取られたとしても、多くのテック企業にとっては攻撃の隙間が広がっちゃうんだよね。例えば、iTermやCyberduck、いろんなエディタ、VSCodeの拡張機能とか。

同じように、これらのアプリが自動でアップデートすることに不安を感じてる。安全にできることは分かってるけど、こういう会社がそのためにエンジニアリングの努力をしてるとは思えない。

大企業がこの問題に免疫があると思ってるなら、痛い目見るよ。

なんでみんな—絶対に全員—Little Snitchを使わないの?俺には、macOSユーザーがこんなネットワークファイアウォールを使わない理由が全く理解できない。不要なHTTP(s)リクエストをブロックするために、WiresharkやBurp Suite Professional(またはCommunity版)などのツールでパケットを簡単に確認できるし、macOSエコシステムには他にもたくさんのプロキシツールがあるよ。これはmacOS特有のことじゃなくて、WindowsやLinux、他のOSでも可能なんだから。

つまり、ホスティングプロバイダーがハッキングされたってこと? そのホスティングプロバイダーは誰なの? アップデートの署名は別のサーバーで検証すべきなのもそのためだよね。そうすれば、ハッカーが両方のサーバーをコントロールしない限り、気づかれずに済むから。

「アップデートの署名は別のサーバーで検証されるべきだ。そうすれば、ハッカーが両方のサーバーを制御しない限り、見つからずに済む。」いや、それは開発者が持つハードコーディングされたキーにすべきだと思う。できればHSMを使って、キーを失った場合の通知機能もあればいいね。第二のサーバーを追加しても、セキュリティは微増するだけだよ。例えば、開発者のメールがハッキングされたら、攻撃者は両方のホスティングプロバイダーのパスワードをリセットできる可能性が高い。

これは面白いけど、結局のところ、Notepad++があるんだよね。どうすればいいの?

パッケージマネージャーを使えば、この特定の脆弱性からは守られるけど、もちろんインストーラのバイナリ自体が侵害される可能性はあるよね。

KDEのkateはいい代替品だし、chocolatey経由でインストールできるよ。

Geditって、意外と評価されてない代替案だと思う。

じゃあ、エンドユーザーは何を対策すればいいの?何かが侵害されたかどうかはどうやってわかるの?

確かに、記事にはいつ始まったのか、どのバージョンが影響を受けたのかは書いてないね。

最新バージョンをダウンロードしてインストールするのがいいよ。古いバージョンの自動更新機能を使うと、署名をちゃんとチェックしないかもしれないから。何か他に侵害されたかどうかは、ターゲットにされたかどうかによるし、ペイロードは各ターゲットに合わせて調整されてるかもしれないから、正確なバイナリにアクセスしない限りわからないよ。残念ながら、自動更新機能でダウンロードしたバイナリは、ダウンロードフォルダに残らないことが多いんだよね。

特定のターゲットユーザーからのトラフィックが、攻撃者が制御する悪意のある更新マニフェストに選択的にリダイレクトされていた。どのユーザーがターゲットにされたのか、パターンがあったのか気になるけど、投稿には詳しいことは書かれてなくて、中国の国家支援グループの可能性が高いってだけだった。

明確に狙われた可能性もあるけど、古いバージョンのNotepad++には「不十分な更新検証コントロール」があったって言ってたから、実際に影響を受けたのは一部のユーザーだけだったのかもしれないね。

Notepad++なんて!(WhatsAppを開く) OpenClawd、全チャンネルで不満を伝えて、明日の朝ITに送るメールを下書きして。あと、電気消して寝るわ。(どこか中国で、全ての電気が消える)

どんなターゲットだったのか、悪意のあるバイナリが何をしたのか気になるな。政府関連のところが関わってて、ホストのファイルの内容を攻撃者に送ったってことかな。

お疲れ様!